Что относится к персональным данным работника в 2023 году

      Комментариев к записи Что относится к персональным данным работника в 2023 году нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что относится к персональным данным работника в 2023 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Особенности работы с персональными данными
2. Что входит в обязанности работодателя
3. Что изменится с 1 марта 2023
4. Обработка персональных данных
5. Хранение и использование персональных данных
6. Особенности использования персональных данных работодателем
7. Обновление правил обработки персональных данных работников: что изменилось в 2021 году
8. Общедоступные данные по-новому
9. Отзыв согласия на обработку и распространение общедоступных персональных данных
10. Что относится к персональным данным работника
11. Общедоступные персональные данные
12. Особенности использования персональных данных работодателем
13. Меры защиты и ответственность
14. В каких документах есть персональные данные
15. Таблица 1. Документы, в которых содержатся персональные данные работников

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Читайте также:  О родительских правах в нашем государстве за 2023 год

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Особенности использования персональных данных работодателем

Разобраться в тонкостях использования, хранения и распространения ПДн персонала могут только опытные кадровики и юристы, но есть моменты, о которых важно знать всем:

  • любые действия в отношении личных сведений осуществляются после получения согласия на обработку (кроме определенных случаев, прописанных в ФЗ-152);
  • если субъект недееспособен либо частично дееспособен, то подпись может поставить законный или уполномоченный представитель;
  • в отдельных случаях (не соответствующих целям, прописанным в ТК РФ) даже согласие субъекта не дает права оператору передавать третьим лицам ПДн;
  • в согласии нужно четко прописывать цели, методы и применяемые средства совершения операций с конфиденциальными сведениями;
  • обойтись без разрешения работника можно, если ПДн получены из документов, которые субъект предоставил во время подписания трудового договора, либо от кадрового агентства, с которым официально сотрудничает соискатель;
  • следует обязательно проинформировать работников о правилах и специфике работы с ПДн, прописанных в локальных нормативно-правовых актах;
  • должен быть человек, ответственный за решение вопросов в сфере обработки личных данных работников;
  • регулярно требуется проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.

Обновление правил обработки персональных данных работников: что изменилось в 2021 году

Если вы работодатель, и персональные данные сотрудников приходится обрабатывать регулярно, то нужно постоянно проводить мониторинг законодательной базы. Изменения 2021 года не коснулись основных принципов, в частности, нельзя требовать информацию, которая не нужна для исполнения рабочих обязанностей, в частности, нарушением считается выяснение религиозных и политическим предпочтений, деталей интимной жизни или национальной принадлежности. Также государство оставляет право произвольного составления формы согласия на обработку ПДн, но при этом нужно дополнительно получать документ, разрешающий распространять личные сведения. Специальное согласие позволяет размещать информацию на виртуальных ресурсах, причем отсутствие реакции от субъекта не может интерпретироваться как положительный ответ на запрос о распространении ПДн. Требование распространяется даже на сведения, которые гражданин публикует на открытых онлайн площадках, в частности, в мессенджерах и социальных сетях.

Среди других нововведений следует отметить:

  1. Вступление в силу ФЗ-248, который определяет новый механизм осуществления инспекционных проверок, а также Постановления Правительства № 1046, где четко прописывается порядок проверочных мероприятий.
  2. Возможность распространения ПДн без дополнительного согласия только ПФР, правоохранительным и другим государственным органам. Персональные данные работника являются информацией, которая не может передаваться свободно третьим лицам.
  3. Предоставление субъекту права отказать в разрешении на распространение личных сведений. Одновременно с этим, если законом на работодателя возложены обязательства по сбору и хранению ПДн, то совершать эти операции можно и без согласия.
  4. Наличие двух способов оформления согласия — при помощи ИС Уполномоченного органа либо в письменном виде с оригиналом подписи физлица.
  5. Подключение оператора к системе Роскомнадзора для получения информации, необходимой для предусмотренных законом целей обработки без непосредственного взаимодействия с субъектом.
  6. Требование составлять отдельное согласие для распространения ПДн каждому третьему лицу, то есть нельзя попросить сотрудника заполнить и подписать один документ для разных целей и сразу нескольких вариантов использования конфиденциальных данных.
  7. Обязательство предприятия остановить обработку персональных данных сотрудников в течение 3 дней после поступления официального заявления с соответствующим требованием от владельца ПДн. При неисполнении данного условия субъект может отправить исковое заявление в судебный орган для защиты своих прав.
  8. Увеличение в 2 раза штрафов за различные нарушения, включая неполучение согласия и продолжение использования ПДн после поступления заявления с требованием о прекращении обработки.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Читайте также:  Компенсация при увольнении по соглашению сторон облагается ли НДФЛ и страховыми взносами

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • паспортные данные, СНИЛС, ИНН;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • номер телефона или электронная почта;
  • прочие сведения, которые могут идентифицировать человека.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Особенности использования персональных данных работодателем

Разобраться в тонкостях использования, хранения и распространения ПДн персонала могут только опытные кадровики и юристы, но есть моменты, о которых важно знать всем:

  • любые действия в отношении личных сведений осуществляются после получения согласия на обработку (кроме определенных случаев, прописанных в ФЗ-152);
  • если субъект недееспособен либо частично дееспособен, то подпись может поставить законный или уполномоченный представитель;
  • в отдельных случаях (не соответствующих целям, прописанным в ТК РФ) даже согласие субъекта не дает права оператору передавать третьим лицам ПДн;
  • в согласии нужно четко прописывать цели, методы и применяемые средства совершения операций с конфиденциальными сведениями;
  • обойтись без разрешения работника можно, если ПДн получены из документов, которые субъект предоставил во время подписания трудового договора, либо от кадрового агентства, с которым официально сотрудничает соискатель;
  • следует обязательно проинформировать работников о правилах и специфике работы с ПДн, прописанных в локальных нормативно-правовых актах;
  • должен быть человек, ответственный за решение вопросов в сфере обработки личных данных работников;
  • регулярно требуется проводить оценку применяемых средств защиты ПДн и устранять угрозы безопасности.

Меры защиты и ответственность

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта. Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.
Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения.

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности. Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.

Читайте также:  Допускается ли односторонний отказ от исполнения брачного контракта

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами. Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.

В каких документах есть персональные данные

В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:

Документы Какие персональные данные в них содержатся
Резюме, анкета, автобиография, личный листок по учету кадров Личные качества, биографические данные
Копия удостоверения личности ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения
Личная карточка № Т-2 Дополнительно к данным удостоверения личности указывается состав семьи и образование
Трудовая книжка Трудовой стаж, места работы
Копии свидетельств о заключении брака, рождении детей Сведения о составе семьи
Документы воинского учета Отношение работника к воинской обязанности
Справка о доходах с предыдущего места работы Уровень заработка на предыдущем месте трудоустройства
Документы об образовании Уровень образования
СНИЛС, ИНН Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов
Трудовой договор Должность, заработная плата, место работы
Приказы по личному составу и их копии Информация о приеме, переводе, повышении, увольнении

В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.

Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

  1. Общие положения.

Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.

  1. Основные понятия и состав персональных данных.

Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.

  1. Передача персональных данных.

Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).

  1. Доступ к персональным данным.

Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.

  1. Ответственность за нарушение норм в отношении обработки и защиты персональных данных.

Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.

Положение о персональных данных вводится в действие на основании приказа руководителя.

Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:

  • личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
  • личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.

При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.

Таблица 1. Документы, в которых содержатся персональные данные работников 

 N 
 Документ 
 Сведения 
 1 
Анкета, автобиография, личный 
листок по учету кадров 
(заполняется при приеме на 
работу) 
Анкетные и биографические данные 
работника 
 2 
Копия документа, 
удостоверяющего личность 
работника 
Ф.И.О., дата рождения, адрес 
регистрации, семейное положение, 
состав семьи 
 3 
Личная карточка (форма N Т-2, 
утверждена Постановлением 
Госкомстата России 
от 05.01.2004 N 1) 
Ф.И.О. работника, место его рождения,
состав семьи, образование, а также 
данные документа, удостоверяющего 
личность 
 4 
Трудовая книжка
 
Сведения о трудовом стаже, предыдущих
местах работы 
 5 
Копии свидетельств о заключении
брака, рождении детей 
Состав семьи, изменения в семейном 
положении 
 6 
Документы воинского учета 
Информация об отношении работника к 
воинской обязанности, необходимая 
работодателю для осуществления 
воинского учета работников 
 7 
Справка о доходах с предыдущего
места работы 
Ф.И.О., данные о сумме дохода и 
удержанного НДФЛ 
 8 
Документы об образовании 
Подтверждают квалификацию работника, 
обосновывают занятие определенной 
должности 
 9 
Документы обязательного 
пенсионного страхования 
Ф.И.О., личные данные 
 10
 
Трудовой договор 
Сведения о должности работника, 
заработной плате, месте работы, 
рабочем месте, а также иные 
персональные данные работника 
 11
 
Приказы по личному составу 
Информация о приеме, переводе, 
увольнении и иных событиях, 
относящихся к трудовой деятельности 
работника


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *